第七章无线网络安全(粗略版)
无线安全
严重威胁无线网络安全的关键因素:
信道(更易受到监听和干扰的影响)
移动性(因具有移动性和便捷性更易造成安全隐患)
资源(复杂的操作系统,但只有有限的存储空间和资源进行抵抗攻击)
可访问性(远距离容易受到物理攻击的可能性)
无线网络环境有三部分组成: 终端,无线介质,接入点
无线网络安全威胁:
偶然连接(相邻的公司产生互相重叠的传送区间,导致资源暴露)
恶意连接(伪装合法接入点使攻击者从合法用户盗取)
Ad hoc网络(由于没有中心点的控制,存在安全隐患)
非传统型网络(非传统型网络和链接(个人网络蓝牙设备)面临监听和欺诈的网络隐患)
身份盗窃(MAC欺炸)(威胁发生在攻击者可以通过网络权限监听)
中间人攻击(简单来说敌蜜)
拒绝服务(Dos)(使用大量的各种资源消耗系统资源的协议信息进行轰炸)
网络注入(主要的目标就是对那些未过滤的网络信息流中的无线接入点,使用伪造的重配置 命令来影响路由器和交换机,降低网络性能)
无线安全措施:
无线传输(安全威胁监听、改变或插入信息和分配)
有效 手段:信息隐藏技术(前提条件密钥是安全的)和加密
无线接入点(网络的未认证入侵)
有效手段:IEEE 802.11X标准对于基本端口的网络访问进行控制
无线网络
拥有安全技术的无线网络【CHOI08友情推荐的】
(1)加密手段
(2)使用杀毒软件、反间谍软件和防火墙
(3)关闭标识符广播
(4)改变路由器的标识符、不使用默认值
(5)改变路由器的预设置密码
(6)只允许专用的计算机访问无线网络
移动设备安全
网络组织必须适应的新趋势:【中心元素:移动计算设备】
(1)新设备的广泛使用
(2)基于云的应用程序
(3)消除边界
(4)外部商业需求
安全威胁:
缺乏物理安全控制
威胁:【设备被偷走或者恶意访问】
(1)恶意方也许会尝试恢复设备中的机密信息
(2)用这个设备去访问组织的网络获取资源
不可信移动设备的 使用
移动设备通常被使用者完全控制,可以再受组织控制场所之外的各种地方被使用和保管。
不可信任 网络的使用
未知来源的应用程序使用
与其他系统的相互作用【类似手机扫电脑】
不安全内容的使用
定位服务的使用
移动设备安全策略【设备安全、用户/服务器数据流的安全、屏障安全】
-
设备安全
(1)开启自动锁定
(2)开启密码或PIN码保护
(3)避免使用用户名和密码自动保存
· (4) 开启远程擦除
(5)SSL保护被启用
(6)安装杀毒软件
(7)敏感信息或者禁止储存在移动设备上或者对其进行加密
(8)远程访问设备时,要擦除设备上的所有数据以及当设备丢失或者盗窃时,禁用设备的能力
(9)禁止所有的第三方软件的安装
(10)对同步和云端存储的使用实施限制
(11)对员工进行不可信内容的培训
(12)可以禁止所有移动设备使用定位服务
数据流安全
定义:基于常规的加密和认证机制的
强大的认证协议可以用来限制设备获取组织资源
屏障安全
组织需要有安全机制保证不合法的访问会被阻拦
IEEE 802.11无线局域网概述
IEEE 802.11是一个制定了局域网一系列标准的委员会
IEEE 802.11术语:
访问接入点(AP):
任何 具有站点功能 并且 通过无线介质为相关联的站点 提供 分配系统的接口实体
基本服务单元(BSS):
单一的协调职能 控制 的一系列站点
协调功能
决定什么时候一个与基本服务单元相互操作的站点允许传输或者能够 接收协定数据单元的逻辑功能。
分发系统(DS)
连接 基本服务单元 和 综合局域网以产生扩展服务单元 的系统
扩展服务单元(ESS)
一个或者多个基本服务单元或综合局域网,在与其任一站点关联的逻辑链路控制层看来如同单个基本服务单元
MAC协议数据单元
应用物理层设施,在两个MAC之间交换的数据单元
MAC服务数据单元
在MAC用户之间以单元传输 的信息
站点
任何包含IEEE 802.11MAC和物理层的设备
Wi -Fi联盟
前身是无线以太网兼容性联盟(WECA)
WiFi联盟为IEEE802.11安全标准制定了认证系统,称为WiFi网络安全存取(WPA)
IEEE 802.11协议架构
物理层
该模型最底层,其功能是 信号的加密和解密,比特流的传输和接收
媒体访问控制(MAC)层
所有的局域网都包含有共享网络传输容量的设施
MAC服务数据单元(MSDU):MAC层从更高层得到以数据块方式存在的数据
MAC的功能:
传输时:数据组装成帧 就是 MAC协议数据单元(MPDU)地址和错误检测域。
接收时:将帧拆开 并进行地址确认和错误检测
控制到局域网传输介质的接口
数据帧的不同域:
MAC控制: 包含了执行MAC协议功能的所有控制信息。
目的MAC地址: 局域网上,MPDU的目的物理地址。
源MAC地址: 局域网上,MPDU的源物理地址。
MAC服务数据单元:来自更高层的数据
循环冗余校验码:这是一个错误检测码,用于其他的数据链路控制协议。
CRC基于整个MAC协议数据单元上的比特流来进行计算
逻辑链路控制(LLC层):在大多数的数据链路控制协议中,数据链路协议不仅利用CRC来进行错误检测(在MAC层),而且利用这些错误通过重传损坏的数据帧来进行恢复(在LLC层)。
IEEE 802.11网络组成与架构模型
无线局域网最小的组成块:基本服务单元(BSS)【包含执行相同MAC协议和竞争同一无线介质接口的多个无线站点。】
一个BSS可能是堵路的,也可能是通过访问接入点(AP)连接到分布式系统(DS)访问接入点具有桥梁和中继作用。
独立基本服务单元(IBSS)【点对点的网络】
若一个基本服务单元中的站点都是移动站点,并且相互之间能够通信而不用通过访问接入点
一个扩展服务网单元(ESS)
有两个或者多个通过分配系统相连的基本服务单元
IEEE802.11服务
分类方法:
(1)服务可以是 主机的服务 和 分布式系统的服务
(2)三种服务 用来控制IEEE802.11局域网的接入和机密性
IEEE802.11服务:
| 服务 | 提供者 | 用于支持 | 服务 | 提供者 | 用于支持 |
| 连接 | 分布式系统 | MSDU传输 | 整合 | 分布式系统 | MSDU传输 |
| 认证 | 站点 | LAN接入和安全 | MSDU传输 | 站点 | MSDU传输 |
| 重认证 | 站点 | LAN接入和安全 | 加密 | 站点 | LAN接入和安全 |
| 取消连接 | 分布式系统 | MSDU传输 | 重连接 | 分布式系统 | MSDU传输 |
| 分发 | 分布式系统 | MSDU传输 |
一个分布式系统中信息的发送:在一个分布式系统中发送信息涉及两个服务:分发和整合
分发:
是站点之间交换MAC协议数据单元时用到的基本服务。而这些MAC协议数据单元必须是经分布式系统由一个基本服务单元的站点发送到另一个基本服务单元的站点。
整合:
能够在IEEE 802.11局域网的站点和整合的IEEE 802.x局域网的站点之间传输数据。
连接相关服务:MAC层的基本目标是在MAC实体之间进行MAC服务数据单元的传送
IEEE 802.11标准定义了三种转换类型:
无转换 站点要么固定,要么是只在一个基本服务单元的通信移动的直接通信范围内移动。
基本服务单元转换
扩展服务单元转换
IEEE802.11三种服务
连接 :建立站点和访问接入点的初始连接(站点必须与一个特殊的基本服务单元的访问接入点建立连接)
重连接
取消连接
IEEE802.11无线局域网安全
有线局域网有两个特点未继承到无线局域网中:
(1)要通过有线局域网传递信息,站点必须与局域网实际连接起来
(2)为了从一个有线局域网的站点接收信息,接收站点必须连接到该局域网
IEEE802.11定义了有线等效保密(WEP)协议,IEEE802.11标准的私密性部分包含了严重的弱点。
IEEE 802.11i服务
认证
访问控制
信号完整性加密:MAC层数据与信号完整性字段一起加密,以确保数据没有被篡改。
IEEE802.11操作阶段(图建议去在其他地方对照看)
IEEE 802.11i只关心站点及其访问接入点之间的通信安全
健全安全网络的五个操作阶段:
发现: 访问接入点使用信标和探测响应信息
认证: 站点和认证服务器相互证明各自的身份
密钥管理: 数据帧只在访问接入点和站点之间进行交换
受保护数据的传输: 数据帧在站点和终端点之间通过访问接入点进行交换
连接终止: 访问接入点和站点交换数据帧。
对以上五个阶段的详细阐述:
发现阶段:
(1)安全策略:站点和访问接入点确认下列区域使用的具体技术:
保护单播通信的机密性和MAC协议数据单元完整性协议
认证方法
密钥管理方法
(2)协议规范加上密钥长度的选取就构成了加密套件:
可供选择的机密性和完整性加密套件:
WEP
TKIP
CCMP
供应方特性方法
其他可协商的套件认证和密钥管理套件(AKM)它定义了
(1)访问接入点和站点相互认证的方法
(2)在可能有其他密钥产生时取得根密钥
可能的AKM套件:
IEEE 802.11x
预共享密钥
供应商特性方法
MPDU的三次交换:
网络和安全通道的发现
开放系统认证
连接:目的协商要用到的一系列安全措施
认证阶段:关于认证阶段请多找几个进行对照或者数177页
IEEE 802.11i访问控制:为局域网提供访问控制的另一套标准。
。。。。。。
MPDU交换的三个阶段:
连接到认证服务器
EAP交换:在站点和访问接入点之间的信息流采用了基于局域网的扩展认证(EAPOL)协议,访问接入点和认证服务器之间的信息流采用远程用户拨号认证系统(RADIUS)
安全密钥传送
EAPOL和RADIUS进行的认证交换的总结:
(1)EAP交换先由访问接入点发生EAP请求/身份帧到站点
(2)访问接入点通过不受控制的接口来接收站点恢复的EAP请求/身份帧
(3)AAA服务器回复RADIUS接入请求包,并作为EAP请求发送到站点
(4)站点生成EAP回复消息,并将之发送到认证服务器
(5)AAA服务器为RADIUSS接入请求包提供接入
密钥管理阶段:
密钥类型:
(1)用于站点与访问接入点之间通信的成对密钥
(2)用于组播通信的群组密钥
成对密钥:成对密钥用于一对设备之间的通信,特别是站点和访问接入点之间。
(关于IEEE 802.11 中数据机密性和完整性协议的密钥)请对照参考或书178
成对朱密钥(PMK):
成对主密钥用来生成成对临时密钥(PTK)
成对临时密钥的三部分:
基于局域网的扩展认证协议密钥确认密钥
基于局域网的扩展认证协议密钥加密密钥
临时密钥
成对密钥发布:4个组成部分(这个地方建议图文结合或者其他对照)
保密数据传输阶段
两种机制:
暂时密钥集成协议(TKIP)
计数器模式+密码分组链接(CBC)消息认证码协议(CCMP)
暂时密钥集成协议(TKIP)提供两种服务:
信息完整性
数据机密性
IEEE802.11i伪随机数函数(去找视频+题)
1593
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
